utm
utm是一个英文缩写,有多种含义,一是Unified Threat Management的缩写,安全网关的意思。二是马来西亚理工大学(Technological University of Malaysia- UTM)的意思。
基本信息
中文名称
安全网关
外文名称
utm
英文全称
Unified Threat Management
问题
企业上网安全隐患
目录
1安全网关
2基本简介
3基本特点
4技术架构
5优点缺点
6发展趋势
7技术创新
8投影角度
折叠编辑本段安全网关
产品名称:安全网关
英文全称:Unified Threat Management
字母简称:UTM
企业上网安全隐患:
电脑受病毒的困扰
互联网上充斥着大量病毒,没有严格的防护系统很容易感染,感染病毒后有可能损坏电脑软硬件,或造成企业重要机密泄露。
频频遭受网络攻击
公司没有建立完善的防网络攻击系统,办公系统一旦遭到攻击,轻者影响网络速度,重者致系统瘫痪,重要文件丢失。
垃圾邮件困扰
办公邮箱大量充斥垃圾邮件,占用邮件存储空间,有可能耽误重要文件接收,造成损失。防护系统脆弱
公司虽已有网络安全防护系统,但一般不支持双机热备功能,一旦防护系统本身出现掉电或损坏,网络系统顿时变得不堪一击。
办公场所分散,沟通不安全
公司在多地拥有办公场所,分公司、办事处或出差工作人员查找公司的内部资料、办公OA、ERP系统、CRM系统等资源时触及安全问题,信息不加密容易被竞争对手破解。
功能型号
产品型号
提供小型、中型、大型多种设备型号
硬件规格
1U~4U上架设备,具体规格见实际硬件型号说明
访问控制
实现基于域名、IP地址、服务端口、IP协议、时间等元素的访问控制
防病毒
支持HTTP、FTP、POP3、SMTP协议的病毒防护,病毒库自动升级
VPN
支持SSL-VPN、IPSEC-VPN,能够与CISCO等厂商VPN设备互联互通
邮件防护
提供基于行为、内容的垃圾邮件防护功能,支持邮件的延迟审核发送
防火墙
集成基于统一安全引擎的安全防护功能,提供全面的防火墙功能
IDS/IPS
提供全面的入侵检测与入侵防御功能
P2P识别
支持典型P2P和IM软件的过滤和带宽限制
流量整形
支持QoS带宽管理,基于IP、协议、服务、接口、时间等元素的带宽控制
高可用性
支持透明、路由、混合三种工作模式,支持静态路由、策略路由、VLAN
高可靠性
支持双机热备部署模式,且切换时间小于1秒钟
设备监控
支持对CPU、网络、用户在线状态、连接数、路由表等信息的监控
系统维护
提供基于WEB和命令行的系统管理,支持远程升级
解决方案
通过部署"UTM安全网关",可综合保障网络安全,让信息网络不再漏洞百出。通过附加网络功能提升网络资源利用率,真正做到一次投资,综合见效。
"UTM安全网关"产品基于统一威胁管理目标设计,用于全方位解决企业综合网络安全问题。产品提供全面的防火墙、病毒防护、入侵检测、入侵防护、恶意攻击防护,同时提供VPN和流量整形功能,在综合安全防护基础上,提供附加网络增值功能。产品内置负载均衡策略和双机热备模式支持,可长期稳定运行。
技术术语
访问控制、垃圾邮件拦截、病毒防护、防网络攻击、VPN功能、支持双机热备、支持设备运行信息监控、支持远程升级
折叠编辑本段基本简介
驱逐舰UTM产品图
驱逐舰UTM产品图
统一威胁管理(Unified Threat Management), 2004年9月,IDC首度提出"统一威胁管理"的概念,即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理(Unified Threat Management,简称UTM)新类别。IDC将防病毒、防火墙和入侵检测等概念融合到被称为统一威胁管理的新类别中,该概念引起了业界的广泛重视,并推动了以整合式安全设备为代表的市场细分的诞生。由IDC提出的UTM是指由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。从这个定义上来看,IDC既提出了UTM产品的具体形态,又涵盖了更加深远的逻辑范畴。从定义的前半部分来看,众多安全厂商提出的多功能安全网关、综合安全网关、一体化安全设备等产品都可被划归到UTM产品的范畴;而从后半部分来看,UTM的概念还体现出在信息产业经过多年发展之后,对安全体系的整体认识和深刻理解。 目前,UTM常定义为由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,同时将多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。
虽然UTM集成了多种功能,但却不一定要同时开启。根据不同用户的不同需求以及不同的网络规模,UTM产品分为不同的级别。也就是说,如果用户需要同时开启多项功能,则需要配置性能比较高、功能比较丰富的产品。
折叠编辑本段基本特点
UTM重要特点:
1.建一个更高,更强,更可靠的墙,除了传统的访问控制之外,防火墙还应该对防垃圾邮件,拒绝服务,黑客攻击等这样的一些外部的威胁起到综合检测网络全协议层防御。真正的安全不能只停留在底层,我们需要构成治理的效果,能实现七层协议保护,而不仅仅局限于二到四层。
2.要有高检测技术来降低误报。作为一个串联接入的网关设备,一旦误报过高,对用户来说是一个灾难性的后果,IPS就是一个典型例子。采用高技术门槛的分类检测技术可以大幅度降低误报率,因此,针对不同的攻击,应采取不同的检测技术有效整合可以显著降低误报率。
3.要有高可靠,高性能的硬件平台支撑。对于UTM时代的防火墙,在保障网络安全的同时,也不能成为网络应用的瓶颈,防火墙/UTM必须以高性能,高可靠性的专用芯片及专用硬件平台为支撑,以避免UTM设备在复杂的环境下其可靠性和性能不佳带来的对用户核心业务正常运行的威胁。
为什么需要UTM
随着时间的演进,信息安全威胁开始逐步呈现出网络化和复杂化的态势。无论是从数量还是从形式方面,从前的安全威胁和恶意行为与现今都不可同日而语。仅仅在几年之前,我们还可以如数家珍的讲述各种流行的安全漏洞和攻击手段,而现在这已经相当困难。现在每天都有数百种新病毒被释放到互联网上,而各种主流软件平台的安全漏洞更是数以千计。我们遇到的麻烦更多的表现为通过系统漏洞自动化攻击并繁殖的蠕虫病毒、寄生在计算机内提供各种后门和跳板的特洛伊木马、利用大量傀儡主机进行淹没式破坏的分布式拒绝攻击、利用各种手段向用户传输垃圾信息及诱骗信息等等。这些攻击手段在互联网上肆意泛滥,没有保护的计算机设备面临的安全困境远超从前。安全厂商在疲于奔命的升级产品的检测数据库,系统厂商在疲于奔命的修补产品漏洞,而用户也在疲于奔命的检查自己到底还有多少破绽暴露在攻击者的面前。传统的防病毒软件只能用于防范计算机病毒,防火墙只能对非法访问通信进行过滤,而入侵检测系统只能被用来识别特定的恶意攻击行为。在一个没有得到全面防护的计算机设施中,安全问题的炸弹随时都有爆炸的可能用户必须针对每种安全威胁部署相应的防御手段,这样使信息安全工作的复杂度和风险性都难以下降。而且,一个类型全面的防御体系也已经无法保证能够使用户免受安全困扰,每种产品各司其职的方式已经无法应对当前更加智能的攻击手段。我们面对的很多恶意软件能够自动判断防御设施的状态,在一个通路受阻之后会自动的尝试绕过该道防御从其它位置突破,并逐个的对系统漏洞进行尝试。一个防御组件成功屏蔽了恶意行为之后,攻击程序在调整自身的行为之后,已经发现该攻击活动的组件无法通知其它类型的防御组件,使得该攻击仍有可能突破防御体系。防御更具智能化的攻击行为,需要安全产品也具有更高的智能,从更多的渠道获取信息并更好的使用这些信息,以更好的协同能力面对日益复杂的攻击方法。这就是为什么整合式安全设备日益受到用户的欢迎,也是为什么有大量行业人士认为UTM类型的产品将成为信息安全新的主流。
折叠编辑本段技术架构
UTM的技术架构
UTM的架构中包含了很多具有创新价值的技术内容,IDC将Fortinet公司的产品视为UTM的典型代表,我们就结合Fortinet公司采用的一些技术来分析一下UTM产品相比传统安全产品到底有哪些不同。
? 完全性内容保护(Complete Content Protection)简称CPP,对OSI模型中描述的所有层次的内容进行处理。这种内容处理方法比目前主流的状态检测技术以及深度包检测技术更加先进,目前使用该技术的产品已经可以在千兆网络环境中对数据负载进行全面的检测。这意味着应用了完全性内容保护的安全设备不但可以识别预先定义的各种非法连接和非法行为,而且可以识别各种组合式的攻击行为以及相当隐秘的欺骗行为。
? ASIC是被广泛应用于性能敏感平台的一种处理器技术,在UTM安全产品中ASIC的应用是足够处理效能的关键。由于应用了完全性内容保护,需要处理的内容量相比于传统的安全设备大大增加,而且这些内容需要被防病毒、防火墙等多种引擎所处理,UTM产品具有非常高的性能要求。将各种常用的加密、解密、规则匹配、数据分析等功能集成于ASIC处理器之内,才能够提供足够的处理能力使UTM设备正常运作。Fortinet不但成功的在自己的产品内应用了ASIC这一具有高度尖端性的芯片技术,而且还进行了很多开创性的工作,推出了FortiASIC技术,令老牌的ASIC厂商也不得不刮目相看。
? 除了硬件方面有独特的设计之外,UTM产品在软件平台上也专门针对安全功能进行了定制。专用的操作系统软件提供了精简而高效的底层支持,可以最大限度的发挥硬件平台的能力。UTM产品的操作系统及周边软件模块可以对目标数据进行智能化的管理,并具有专门的实时性设计,提供实时内容重组和分析能力,可以有效地发挥防病毒、防火墙、VPN等子系统功能。
? 紧凑型模式识别语言(Compact Pattern Recognition Language)简称CPRL,是为了快速执行完全内容检测而设计的。这种语言可以在同样的软硬件平台下提供高得多的执行效能,并且可以使防病毒、防火墙、入侵检测等多种安全功能的安全威胁辨识工作获得更好的协同能力。另外,这种实现方式还有利于集成更先进的启发式算法以应对未知的安全威胁。
? 动态威胁防护系统(Dynamic Threat Prevention System),是在传统的模式检测技术上结合了未知威胁处理的防御体系。动态威胁防护系统可以将信息在防病毒、防火墙和入侵检测等子模块之间共享使用,以达到检测准确率和有效性的提升。这种技术是业界领先的一种处理技术,也是对传统安全威胁检测技术的一种颠覆。
折叠编辑本段优点缺点
折叠优点
整合所带来的成本降低
将多种安全功能整合在同一产品当中能够让这些功能组成统一的整体发挥作用,相比于单个功能的累加功效更强,颇有一加一大于二的意味。现在很多组织特别是中小企业用户受到成本限制而无法获得令人满意的安全解决方案,UTM产品有望解决这一困境。包含多个功能的UTM安全设备价格较之单独购买这些功能为低,这使得用户可以用较低的成本获得相比以往更加全面的安全防御设施。
降低信息安全工作强度
由于UTM安全产品可以一次性的获得以往多种产品的功能,并且只要插接在网络上就可以完成基本的安全防御功能,所以无论在部署过程中可以大大降低强度。另外,UTM安全产品的各个功能模块遵循同样的管理接口,并具有内建的联动能力,所以在使用上也远较传统的安全产品简单。同等安全需求条件下,UTM安全设备的数量要低于传统安全设备,无论是厂商还是网络管理员都可以减少服务和维护工作量。
降低技术复杂度
由于UTM安全设备中装入了很多的功能模块,所以为提高易用性进行了很多考虑。另外,这些功能的协同运作无形中降低了掌握和管理各种安全功能的难度以及用户误操作的可能。对于没有专业信息安全人员及技术力量相对薄弱的组织来说,使用UTM产品可以提高这些组织应用信息安全设施的质量。
折叠缺点
处理能力的分散
从原理上说,将防病毒、入侵检测和防火墙等N个网络安全产品功能集中于一个设备中,必然导致每一个安全功能只能获得N分之一的处理能力和N分之一的内存,因此每一个功能都较弱。
网关防御的弊端
网关防御在防范外部威胁的时候非常有效,但是在面对内部威胁的时候就无法发挥作用了。有很多资料表明造成组织信息资产损失的威胁大部分来自于组织内部,所以以网关型防御为主的UTM设备目前尚不是解决安全问题的万灵药。
过度集成带来的风险
将所有功能集成在UTM设备当中使得抗风险能力有所降低。一旦该UTM设备出现问题,将导致所有的安全防御措施失效。UTM设备的安全漏洞也会造成相当严重的损失。
性能和稳定性
尽管使用了很多专门的软硬件技术用于提供足够的性能,但是在同样的空间下实现更高的性能输出还是会对系统的稳定性造成影响。目前UTM安全设备的稳定程度相比传统安全设备来说仍有不少可改进之处。
折叠编辑本段发展趋势
总体来看,UTM产品为信息安全用户提供了一种更加实用也加易用的选择。用户可以在一个更加统一的架构上建立自己的安全基础设施,而以往困扰用户的安全产品联动性等问题也能够得到极大的缓解。相对于提供单一的专有功能的安全设备,UTM在一个通用的平台上提供了组合多种安全功能的可能,用户既可以选择具备全面功能的UTM设备,也可以根据自己的需要选择某几个方面的功能。更加可贵的是,用户可以随时在这个平台上增加或调整安全功能,并且无论如何组合这些安全功能都可以很好的进行协同。现在UTM在安全产品市场上一路高歌猛进,除了引发出的新市场需求之外,UTM还侵蚀了防火墙设备和VPN产品的很多市场份额。按照目前的发展态势估计,UTM产品很可能代替目前传统的一些信息安全产品,成为信息安全市场上新的主流。根据IDC的数据,UTM产品市场在近几年会维持高速的增长态势,在2008年之前将维持平均接近百分之八十的年成长率,并于2008年成长成为一个容量达到20亿美元的市场细分。
早在2003年,在市场上销售UTM类型产品的厂商还只有不到十家,而截止至2004年底,仅推出UTM产品的知名厂商就已经达到了2003年的3倍以上。这些厂商既有老牌的网络安全设备厂商,也有防病毒、防火墙等领域的技术巨头,其它一些中小型的UTM厂商更是多不胜数。被认为是最早在市场上推出UTM类型安全产品的Fortinet公司仍旧占据着该市场的领先地位,但是这种领先已经受到了很多后来者的威胁。例如SonicWall公司在2005年第一个季度的营收与去年同期相比已经实现翻翻,而销售数量则接近去年该季度的3倍,成为UTM市场崛起的一股新的领导力量。国内的启明星辰能够连续数年成为国内安全设备占有率最高的厂商也同样证明了一个道理,持续的创新和对用户需求动向的把握是在安全市场成功的重要因素。
当前的整合式安全理念呈现出两种不同的发展方向,一是在统一威胁管理的框架下融合多个厂商的多种技术和产品,二是组合多种功能形成整合化的UTM安全设备。虽然整合式的UTM安全设备更加简单易用并具有更多先进的设计元素,但是整合多种现有产品形成有效的解决方案仍然会在UTM市场中占有重要的地位。首先是因为目前有大量的技术和设备资源是在UTM框架之前形成,我们不可能跨越这些资源从头建构各种安全设施,而且这样做也是没有任何必要的。UTM的先进性更多的体现在它的框架理念上,而并非局限于某种具体的产品。我们有足够的理由和能力将UTM的先进理念应用于其它形式和模式的安全设施之上。真正意义上的UTM产品应该象我们所提出的UTM概念的后半部分所描述的那样,形成一个标准的统一管理平台,只有这样才能提供足够强壮的安全防御产品满足用户的需求。真正深究统一威胁管理的内涵我们会发现,这既是安全产品不断向着整合化发展的直接结果,同时更是对信息安全体系化的不断精化和反哺归真。
目前市场上出现的各种UTM产品和UTM解决方案更多的是在已有产品或已有解决方案的基础上进行整合和创新而成,统一威胁管理真正的威力尚没有被完全发挥出来。以UTM安全设备为例,很多厂商的产品仍旧是以防火墙系统为核心,并且在引导用户认知的过程中也体现出方式。这一方面是因为用户对防火墙产品的认同度较高,另一方面也体现了厂商在技术实现方面的一些脉络。完全以高于安全功能的更抽象层次进行设计的产品还不很多见,而只有这样才能最大限度的从UTM框架中获得最大的产品价值提升。同时延续对网关防御的担忧,目前市场上更加具有分布式和具有更高适应性的UTM解决方案同样稀少。所以我们认为目前UTM等整合式安全产品的出现仍停留在对传统产品的改善和颠覆,尚没有真正开启信息安全新时代的大幕。
展望未来的几年时间,UTM阵营将在很多方面取得突破,信息安全新格局的产生也有赖于此。用不了很久,UTM产品中就将集成进更多的功能要素,不仅仅是防病毒、防火墙和入侵检测,访问控制、安全策略等更高层次的管理技术将被集成进UTM体系从而使组织的安全设施更加具有整体性。UTM安全设备的大量涌现还将加速催生各种技术标准、安全协议的产生。在UTM理念尚没有被接受之前,众多安全厂商就已经在积极的寻找使不同厂商的产品可以互通合作的方式。即使UTM安全产品被推出之后,这种对户操作标准的渴求应该得到延续,而不能因为UTM产品的出现就放弃了对不同厂商产品可互操作的追求。未来的信息安全产品不仅仅需要自身具有整合性,更需要不同种类不同厂商产品的整合,以最终形成在全球范围内进行协同的安全防御体系。在未来不但会制订出更加完善的互操作标准,还会推出很多得到业内广泛支持的协议和语言标准,以使不同的产品尽可能拥有同样的"交谈"标准。最终安全功能经过不断的整合将发展得象网络协议一样"基础",成为一种内嵌在所有系统当中的对用户透明的功能。而这才是信息安全新时代到来的真正标志,我们期待着UTM为我们吹响向这一目标迈进的号角.
目前主要的UTM生产厂商有:
启明星辰
网御星云(于2011年被启明星辰收购)
网御星云UTM(Unified Threat Management)采用先进的主动云防御技术和基于国情的绿色上网管理,集多种安全功能于一身,通过简单的一键式配置管理和持续的安全服务,构成一个标准的统一安全平台。其集成了状态检测防火墙、 VPN、网关防病毒、入侵防护(IPS)、绿色上网、反垃圾邮件等安全防护功能,还全面支持策略管理、IM/P2P管理、服务质量(QoS)、负载均衡、高可用性(HA)和带宽管理等功能。可以阻挡未授权的访问、网络入侵、病毒、蠕虫、木马、间谍软件、钓鱼诈骗、垃圾邮件,以及其它类型的安全威胁。
其它的公司还有安氏、SonicWALL等等
折叠编辑本段技术创新
折叠万兆
2008年5月,国内知名的网络安全厂商启明星辰公布,成功驾驭CAVIUM 16核MIPS多核处理器为核心的万兆高性能平台,使其安全产品性能提升10倍。此举也实现了国内真正意义上万兆UTM产品零的突破,达到国际领先水平。
作为网关安全设备的发展方向,UTM集防火墙、 VPN、AV、IPS等多种功能于一身,在国内的应用已越来越普遍。UTM产品具有3大技术特点:吞吐密集、运算密集、应用层特性匹配密集。这3大特点对硬件平台提出了极大的挑战,也正是基于此,UTM过去饱尝性能瓶颈之苦,如:在X86架构下,UTM受制于总线带宽普遍无法实现千兆线速;开启AV、IPS功能后,CPU占用率大幅升高,整机性能通常下降80%以上。
综合考虑了这些问题之后,启明星辰经过详细的技术调研、产品预研,最终选择了基于Cavium公司16核CPU的硬件平台承载万兆UTM应用。单就CPU核数而言,是X86 CPU的4倍以上。并且,Cavium公司OCTEON系列多核芯片,专为UTM等安全产品的应用量身内置了一系列专用硬件,使得最终构建出的产品在性能、稳定性上很容易实现电信级标准。
16核引领万兆UTM突破性能瓶颈
硬件平台多达16个CPU核在同时进行并行业务处理,对各CPU核的业务调度与控制尤为重要。在传统的X86架构下的,CPU最多4核,对CPU核的调度问题并不突出,而在16核情况下,该问题便暴露出来。为攻克此问题,启明星辰集中了研发体系的所有优势资源,成立了技术攻关小组,并贯穿产品化始终,从挖掘硬件资源、业务锁等多个方向进行优化,软件人员与硬件驱动人员通力配合,共同寻找提高性能的途径,逐一优化,一个核一个核的攻。最终,实现了业务性能的线性化增长。随着核数的增多,性能曲线基本保持线性增长的态势。
折叠平方
启明星辰公司的UTM平方网关·终端统一安全套件,是启明星辰天清汉马USG产品(也即UTM产品)与天珣内网安全产品(也即终端UTM)的跨界产品组合,实现了从网关到终端的全面安全。
UTM平方在UTM的基础上将网络访问、准入控制、安全检测、流量管理、攻击防范等功能进一步细化延伸到终端,能够帮助用户构建一套细粒度、可控制、易管理和高效能的立体化安全网络。
通过这样的一体化设备,既满足了航空某企业集团针对网络访问进行防护时所需要的渗透到应用层防护的特点,也满足了管理员易管理、易使用、易配置的管理要求,最终实现了网关和终端的统一部署、统一配置、统一监控,简化了企业集团安全管理所带来的成本,同时也保护了用户的投资。它的部署方式如下图所示:
启明星辰UTM产品特性
启明星辰UTM产品特性
UTM平方的产品特性
1.一体化协同防护体系:通过统一的管理界面,实现对网关的配置和终端安全策略的下发,能够从网关对接入网络的所有终端进行进程管理、服务管理、网络应用管理和补丁管理;同时,终端负责各种安全性检查,网关根据检查结果进行准入控制,彻底杜绝不安全的终端接入,保障内网合规。
2.精确的上网行为管理:通过网关协议解析和终端进程管理的结合,可以对IM、P2P、流媒体等网络应用实现100%的精确控制;针对各种网络应用,在安全网关上可通过安全策略、主机或服务进行流量控制,在终端上可实现基于进程和访问端口的流量控制,两者搭配可以实现更细粒度的流量管理。
3.全面的网络准入控制:传统防火墙只能根据五元组进行准入控制,无法实现应用层控制,而UTM平方除了具备UTM的应用层安全检查功能,更可根据终端的进程检查、防病毒检查和系统补丁检查等多种安全检查结果,实现强大的进程级准入控制。
4.增强的网络攻击防护:从终端出发准确定位ARP攻击源头,阻止本机发送、接收ARP欺骗包,彻底解决ARP攻击难题;通过网关限制终端连接数,通过终端限制主机进程连接数,彻底防范DoS/DDoS攻击。
UTM(统一威胁管理)产品与技术进一步演化趋势 经过这些年市场启发,教育,UTM的概念已经得到多方认可,UTM产品市场一直维持着高速增长的态势,IDC统计,平均接近80%的年增长率,2008年UTM将成长为一个容量达到20亿美元的细分化市场,占有整个信息安全市场的半壁江山,达到57.6%。今年熊猫烧香,灰鸽子,流氓软件等安全大事件,让国人前所未有的关注起网络安全。国内众多企业安全意识亦在洗礼中逐渐成熟,对网络安全越来越重视。
但是自2010年以来,更多的客户大家对于传统UTM产品的实际防御效果似乎都有点微辞,认为效果不行。以防病毒功能为例,单机版杀毒软件病毒码多在几十,几百万,而UTM产品,病毒码多在几千到几万的级别,跟单机杀毒软件相差甚远。事实上,传统UTM作为网关安全产品,目的是为了抵御危害最大,最流行的网络病毒,权威机构公布的病毒列表wildlist,只有600~800的活跃病毒。
另外非常重要的一点,也是被大家所抱怨最多的,传统UTM在打开所有功能之后,性能急剧下降。这是因为,相较于传统防火墙,传统UTM提供了更多的安全功能,但UTM的致命缺陷就是采用串行扫描方式,处理效率低下,尤其在激活了多种扫描过滤功能之后,整体的性能会使企业的网络受到极大的影响。传统的UTM只是将防火墙、IPS、AV进行简单的功能堆砌,功能全部开放时的效率非常低下,另外,传统UTM在防护方面也不完善,例如Web应用方面的防护就有缺失。
传统UTM面临的最大技术障碍---性能问题?!
从2012年以来,业界最新的声音和最主流的技术趋势是,认为UTM的进一步演化趋势必将是"下一代防火墙" 即 NGFW 。因为相较于备受中小企业的UTM设备,下一代防火墙(简称 :NGFW)面对的用户范围更加广泛,NGFW的发展是需求推动。从技术方面,下一代防火墙产品之所以能够达到比UTM更高的性能和实现更多的功能,是因为其产品架构之间的根本区别。NGFW产品自设计之初,就采用了一体化的引擎,而UTM只是把多种安全引擎叠加在了一起,这种做法会使数据流在每个安全引擎分别执行解码、状态复原等操作,导致大量的资源消耗。而NGFW则不同,它会一次性的对数据流完成识别、扫描,因而可以达到更高的性能。UTM开始的设计就是针对中小企业网络的,性能受到了很大的局限。UTM的理念是不需要用户开启全部功能。NGFW拥有灵活的架构与扩充性,这主要得益于NGFW支持虚拟化,使得NGFW能够更灵活的架构。除了定制化能力外,还有一点很重要的就是硬件资源可以通过虚拟化技术进行分配的。举例来说,NGFW很有可能有能力多台防火墙串连虚拟为单一的防火墙设备,或是将单台防火墙虚拟为多台小型防火墙,达到分开处理流量的效果。
从业界主流的技术和产品看,NGFW应对UTM(统一威胁管理)安全问题,具备以下技术特性:
基于用户防护传统防火墙策略都是依赖IP或MAC地址来区分数据流,不利于管理也很难完成对网络状况的清晰掌握和精确控制。下一代防火墙则具备用户身份管理系统,实现了分级、分组、权限、继承关系等功能,充分考虑到各种应用环境下不同的用户需求。此外还集成了安全准入控制功能,支持多种认证协议与认证方式,实现了基于用户的安全防护策略部署与可视化管控。
面向应用安全在应用安全方面,下一代防火墙应该包括"智能流检测"和"虚拟化远程接入"两点。一方面可以做到对各种应用的深层次的识别;另外在解决数据安全性问题方面,通过将虚拟化技术与远程接入技术相结合,为远程接入终端提供虚拟应用发布与虚拟桌面功能,使其本地无需执行任何应用系统客户端程序的情况下完成与内网服务器端的数据交互,就可以实现了终端到业务系统的"无痕访问",进而达到终端与业务分离的目的。
高效转发平台为了突破传统网关设备的性能瓶颈,下一代防火墙可以通过整机的并行多级硬件架构设计,将NSE(网络服务引擎)与SE(安全引擎)独立部署。网络服务引擎完成底层路由/交换转发,并对整机各模块进行管理与状态监控;而安全引擎负责将数据流进行网络层安全处理与应用层安全处理。通过部署多安全引擎与多网络服务引擎的方式来实现整机流量的分布式并行处理与故障切换功能。
多层级冗余架构下一代防火墙设备自身要有一套完善的业务连续性保障方案。针对这一需求,必须采用多层级冗余化设计。在设计中,通过板卡冗余、模块冗余以及链路冗余来构建底层物理级冗余;使用双操作系统来提供系统级冗余;而采用多机冗余及负载均衡进行设备部署实现了方案级冗余。由物理级、系统级与方案级共同构成了多层级的冗余化架构体系。
全方位可视化下一代防火墙还要注意"眼球经济",必须提供丰富的展示方式,从应用和用户视角多层面的将网络应用的状态展现出来,包括对历史的精确还原和对各种数据的智能统计分析,使管理者清晰的认知网络运行状态。实施可视化所要达到的效果是,对于管理范围内任意一台主机的网络应用情况及安全事件信息可以进行准确的定位与实时跟踪;对于全网产生的海量安全事件信息,通过深入的数据挖掘能够形成安全趋势分析,以及各类图形化的统计分析报告。
安全技术融合动态云防护和全网威胁联防是技术融合的典范。下一代防火墙的整套安全防御体系都应该是基于动态云防护设计的。一方面可以通过"云"来收集安全威胁信息并快速寻找解决方案,及时更新攻击防护规则库并以动态的方式实时部署到各用户设备中,保证用户的安全防护策略得到及时、准确的动态更新;另一方面,通过 "云",使得策略管理体系的安全策略漂移机制能够实现物理网络基于"人"、虚拟计算环境基于"VM"(虚拟机)的安全策略动态部署。
特别是,随着网络的不断升级与扩容,在运营商骨干网、云数据中心、大型企业网络边界等网络应用环境中,网关应对UTM(统一威胁管理)问题需要满足大容量、高可靠、可扩展等需求。在这种环境下,传统UTM技术及产品恐难以胜任,往往需要部署分布式机架安全网关。 例如目前业界国内影响力最大的品牌,天融信NGFW®下一代防火墙擎天II系列是2012年发布的全新一代高性能机架式防火墙产品,其采用了并行多级流水线硬件架构。借助于先进的硬件架构,在2012年中期权威测评机构测试显示,擎天II系列的背板交换容量能达到2Tbps,安全处理性能可达到320Gbps。同时,够支持防火墙、VPN、AV、IDP等安全业务板,能支持机架冗余、安全业务板冗余和关键部件冗余。在这种开放式的硬件架构下,使擎天II具有高处理性能、高可靠、高端口密度和可灵活扩展等特点,完全能满足运营商、数据中心和大企业等客户的对安全问题的统一管理需求。
根据国际上最权威的咨询机构Gartner预测2014年底,以NGFW为技术形态的产品将占有传统UTM市场的60%以上,可见,NGFW将是未来UTM(统一威胁管理)产品和技术的终极演化形态。
最后总结一下,在目前阶段,为了是用户的投资得到最大化的收益保护,选择适应自己、适应技术发展的统一威胁管理UTM产品。建议小微企业可以选择传统UTM产品作为统一威胁管理解决方案,大中型企业应该更多的关注NGFW技术作为统一威胁管理的最终解决方案。
折叠编辑本段投影角度
UTM(UNIVERSAL TRANSVERSE MERCARTOR GRID SYSTEM,通用横墨卡托格网系统)坐标是一种平面直角坐标,这种坐标格网系统及其所依据的投影已经广泛用于地形图,作为卫星影像和自然资源数据库的参考格网以及要求精确定位的其他应用。在UTM系统中,北纬84度和南纬80度之间的地球表面积按经度6度划分为南北纵带(投影带)。从180度经线开始向东将这些投影带编号,从1编至60(北京处于第50带)。每个带再划分为纬差8度的四边形。四边
形的横行从南纬80度开始。用字母C至X(不含I和O)依次标记(第X行包括北半球从北纬72度至84度全部陆地面积,共12度)每个四边形用数字和字母组合标记。参考格网向右向上读取。
每一四边形划分为很多边长为1000 000米的小区,用字母组合系统标记。在每个投影带中,位于带中心的经线,赋予横坐标值为500 000米。对于北半球赤道的标记坐标值为0,对于南半球为10000000米,往南递减。大比例尺地图UTM方格主线间距离一般为1KM,因此UTM系统有时候也被称作方里格。因为UTM系统采用的是横墨卡托投影,沿每一条南北格网线(带中心的一条格网线为经线)比例系数为常数,在东西方向则为变数。沿每一UTM格网的中心格网线的比例系数应为0.99960(比例尺较小),在南北纵行最宽部分(赤道)的边缘上,包括带的重叠部分,距离中心点大约363公里,比例系数为 1.00158。
1、椭球面
地图坐标系由大地基准面和地图投影确定,大地基准面是利用特定椭球体对特定地区地球表面的逼近,因此每个国家或地区均有各自的大地基准面,我们通常称谓的北京54坐标系、西安80坐标系实际上指的是我国的两个大地基准面。我国参照前苏联从1953年起采用克拉索夫斯基(Krassovsky)椭球体建立了我国的北京54坐标系,1978年采用国际大地测量协会推荐的IAG 75地球椭球体建立了我国新的大地坐标系--西安80坐标系, 目前GPS定位所得出的结果都属于WGS84坐标系统,WGS84基准面采用WGS84椭球体,它是一地心坐标系,即以地心作为椭球体中心的坐标系。因此相对同一地理位置,不同的大地基准面,它们的经纬度坐标是有差异的。
采用的3个椭球体参数如下(源自"全球定位系统测量规范 GB/T 18314-2001"):
椭球体 长半轴 短半轴
Krassovsky 6378245 6356863.0188
IAG 75 6378140 6356755.2882
WGS 84 6378137 6356752.3142
理解:椭球面是用来逼近地球的,应该是一个立的椭圆旋转而成的。
2、大地基准面
椭球体与大地基准面之间的关系是一对多的关系,也就是基准面是在椭球体基础上建立的,但椭球体不能代表基准面,同样的椭球体能定义不同的基准面,如前苏联的Pulkovo 1942、非洲索马里的Afgooye基准面都采用了Krassovsky椭球体,但它们的大地基准面显然是不同的。在目前的GIS商用软件中,大地基准面都通过当地基准面向WGS84的转换7参数来定义,即三个平移参数ΔX、ΔY、ΔZ表示两坐标原点的平移值;三个旋转参数εx、εy、εz表示当地坐标系旋转至与地心坐标系平行时,分别绕Xt、Yt、Zt的旋转角;最后是比例校正因子,用于调整椭球大小。北京54、西安80相对WGS84的转换参数至今没有公开,实际工作中可利用工作区内已知的北京54或西安80坐标控制点进行与WGS84坐标值的转换,在只有一个已知控制点的情况下(往往如此),用已知点的北京54与WGS84坐标之差作为平移参数,当工作区范围不大时,如青岛市,精度也足够了。
以(32°,121°)的高斯-克吕格投影结果为例,北京54及WGS84基准面,两者投影结果在南北方向差距约63米(见下表),对于几十或几百万的地图来说,这一误差无足轻重,但在工程地图中还是应该加以考虑的。
输入坐标(度) 北京54 高斯投影(米)
WGS84 高斯投影(米)
纬度值(X) 32 3543664 3543601
经度值(Y) 121 21310994 21310997
理解:椭球面和地球肯定不是完全贴合的,因而,即使用同一个椭球面,不同的地区由于关心的位置不同,需要最大限度的贴合自己的那一部分,因而大地基准面就会不同。
UTM投影为了全球战争而建,美国于1948年完成这种通用投影系统的计算。与高斯克吕格投影相似,该投影角度没有发生变形,中央经线为直线,且为投影的对称轴,中央经线的比例因子取0.9996是为了保证中央经线左右约330km处两条不失真的标准经线,UTM投影的分带方法与高斯克吕格投影相似,都是自西经180°每隔经差6度自西向东分带,将地球划分为60个投影带。我国的卫星影像资料常采用UTM投影。